Bring Your Own Device en de juridische (privacy) regels

Bring Your Own Device (breng uw eigen apparatuur mee), oftewel BYOD. Een term die al langer bestaat maar tegenwoordig gebruikelijk is op de werkvloer als het gaat om het meenemen van privé-apparatuur, zoals een laptop, tablet of smartphone, die worden gebruikt om werktaken uit te voeren. Met de opkomst van de clouddiensten en webbased systemen (denk aan een online time-tracking of taken systeem, CRM-systeem, wordt BYOD steeds logischer. BYOD valt daarom niet meer weg te denken uit het bedrijfsleven en lopen werk en privé gemakkelijker in elkaar over.

Wat zijn de voor- en nadelen van BYOD?

Kostenbesparing en voorkeursvrijheid

Voor werkgevers geldt natuurlijk het voordeel dat het een kostenbesparing met zich meebrengt. Er hoeft geen apparatuur meer voor de werknemer aangeschaft te worden. Voor de werknemer geldt dat deze keuzevrijheid heeft en het apparaat kan aanschaffen waarmee zij het beste kunnen omgaan.

Plicht en onkostenvergoeding BYOD?

Als werkgever ben je niet verplicht om onkostenvergoeding te betalen voor het gebruik van eigen apparatuur. Daarentegen kan de werknemer ook niet verplicht worden om zijn eigen apparatuur te gebruiken of aan te schaffen voor de uitvoering van zijn werkzaamheden. Als de werknemer weigert dan is de werkgever verplicht om een alternatief aan te bieden of te accepteren dat werknemer niet werkt met de systemen en mobiele apparatuur. Binnen organisaties waarin veel gebruik wordt gemaakt van BYOD zie je toch wel dat de werknemer een maandelijkse onkostenvergoeding krijgt voor het gebruik van zijn eigen apparatuur. Dit dekt de gebruikskosten zoals onderhouds- en vervangingskosten, reparatie en abonnementskosten. In sommige gevallen krijgt de werknemer een budget voor de aanschaf van bijvoorbeeld een telefoon of laptop.

Botsende appratuur en systemen

Het nadeel van een BYOD beleid is dat de meeste ICT-afdelingen binnen organisaties een hekel hebben aan BYOD omdat er een versprokkeling ontstaat van verschillende apparaten en systemen. Mocht ergens iets misgaan dan is het vaak lastig om te achterhalen waar de fout zit en tevens moet de helpdesk ook beschikken over kennis van de verschillende apparaten en systemen.

Beveiligingsrisico

Een ander nadeel van BYOD is het beveiligingsrisico van het zakelijk gebruik van privé apparatuur. Onbevoegden kunnen hierdoor veel gemakkelijker bij de zakelijke gegevens komen.

Verder is er door de werkgever geen goede controle mogelijk op de software, antivirus, firewalls op de apparatuur die de werknemer gebruikt. Ook dat brengt wel beveiligingsrisico’s met zich mee dat onbevoegden bij de zakelijke en vertrouwelijke gegevens kunnen.

Aansprakelijkheid

Een ander nadeel is dat gezien de bijzondere relatie tussen werknemer-werkgever, de werkgever aansprakelijk is voor de schade die de werknemer krijgt aan zijn apparatuur bij uitvoering van zijn werkzaamheden.

Overigens moet er wel sprake zijn van schade die valt binnen de uitvoering van de arbeidsovereenkomst. Wanneer de werknemer een virus binnenhaalt op zijn mobiele telefoon bij het lezen van zijn werkmail is de werkgever voor eventuele gevolgen aansprakelijk. Aan de andere kant, wanneer de werknemer datzelfde virus binnenhaalt via het openen van een Facebook bericht (waarbij we ervan uit gaan dat Facebook alleen voor privédoeleinden wordt gebruikt) is de werkgever niet aansprakelijk voor de gevolgen. Het is echter vaak lastig om dat allemaal te achterhalen.

Scheiding werk en privé

Met name door de hoge toename van smartphones dreigt de grens tussen werk en privé te vervagen en dat levert ook nadelen op. Het is immers gemakkelijker om in je vrije tijd gestoord te worden door werkgerelateerde zaken.  Denk aan het ontvangen van emails laat in de avond en nog even in het weekend werken. Op deze manier wordt de vrije tijd van de werknemer makkelijk in beslag genomen door werk en vergoot de kans op uitval (bijvoorbeeld overspannenheid). Er is echter wetgeving in behandeling die deze risico’s gaat inperken.

Privacy en BYOD

Als bedrijf ben je onder de AVG verplicht om passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens. Zo ook ten opzichte van het gebruik van eigen apparatuur en de (zakelijke) persoonsgegevens die de werknemers verwerken op hun eigen apparatuur. Het gaat dan o.a. om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens. Hoe kunt u als werkgever hier in de praktijk het beste mee omgaan?

1. Stel een BYOD protocol op

Stel altijd een intern privacy beleid op waarin u uw werknemers instrueert en informeert over hoe u omgaat met hun gegevens en hoe zij moeten omgaan met de persoonsgegevens van anderen zoals klanten, collega’s, etc. Voeg daar ook een apart BYOD protocol bij als bijlage omdat dit specifiek ziet op het gebruik van eigen apparatuur. Hierin kunnen beveiligingsvoorwaarden gesteld worden aan het gebruik zoals dat de apparatuur voorzien moet zijn van toegangsbeveiliging, een virusscanner, firewall, gps-systeem, etc. Verder kunnen hier praktische regels in worden opgenomen, zoals het verbod tot opslaan van bedrijfsgegevens op de harde schijf van een computer, de telefoon, de tablet, over het gebruik van wachtwoorden, (onrechtmatige) toegang en gebruik door derden en eventuele sancties.

2. Train het personeel!

Naast het hebben van een intern privacy beleid met de nodige protocollen zoals het HR protocol, rechten van betrokkenen protocol en het datalek protocol is dus het BYOD-protocol van belang. In plaats van te verwachten dat uw personeel deze protocollen allemaal doorleest, is het inplannen van een trainingsmoment een veel praktischer instrument. Dit creëert bewustwording waardoor de risico’s op een inbreuk flink worden beperkt.

Heeft u een template BYOD-protocol of een pragmatische privacy awareness training nodig dan kunt u bij ons terecht voor deze producten voor een vaste prijs.

Mail dan naar info@thelegalprivacycompany.com

Wilt u als HR afdeling of als HR manager in zijn algemeenheid meer weten over privacy en werknemers? Wij organiseren 10 oktober 2019 de Masterclass Privacy en werknemers.  Wij verzorgen deze training ook op locatie. Mocht u hier interesse in hebben mail dan naar: info@thelegalprivacycompany.com.